水飲み場型攻撃とは?被害を最小化するために知るべき攻撃手順と対策

 標的型攻撃は巧妙化の一途をたどっています。最近では不審なメールへの対策も強化されてきていますので、攻撃側も警戒されない、より自然な方法で攻撃を仕掛けてきます。水飲み場型攻撃もその一つで、私たちの習慣化された行動の中に罠を仕掛けることでマルウェアに感染させようとします。水飲み場型攻撃の攻撃手順とその対策についてご紹介します。

1. 水飲み場型攻撃とは

 水飲み場型攻撃とは、攻撃対象となる組織のユーザーが普段アクセスするウェブサイト(つまり、水飲み場)を特定し、そのサイトを改ざんし、ドライブバイダウンロード攻撃(Webブラウザーを通じて、ユーザーに気付かれないように悪意のあるソフトウェアをダウンロードさせる攻撃手法)などを利用してマルウェアに感染させようとする標的型攻撃の一種です。
 水飲み場型攻撃は、IPアドレスなどから訪問者の所属組織や属性を判定し、攻撃対象を特定することもあります。そのため、標的以外の利用者がサイトに訪れても何も起きないこともあり、攻撃が発覚しにくいという特徴もあります。
 なお、水飲み場型攻撃は、英語ではwatering hole attackといい、野生動物などが水を飲みにやってくる水飲み場をさします。「たまり場型攻撃」と訳されることもあります。Water hole とは、攻撃者を肉食動物、攻撃対象となる企業や組織のユーザーを草食動物に見立て、草食動物が集まる水飲み場のそばで、肉食動物が獲物を待ち伏せする様子になぞらえ、こう呼ばれるようになったといわれています。

2. 水飲み場型攻撃の手順と被害

2-1 標的を特定する

 はじめに、標的となる組織や個人を特定します。機密情報搾取のため、関係部署を直接狙うこともあれば、侵入後に社内サーバーを探索することを想定して、社外との接点が多いところを狙うことも想定されます。いずれにしても、通常、最初に攻撃対象を特定するステップから始まります。

2-2 偵察をする

 標的組織の取引先のサイトや標的の社員が情報収集のためによく訪問するサイトなど、標的が訪問しそうなウェブサイトを調べます。また、標的を特定するためにIPアドレス情報なども集めます。

2-3 ワナを仕掛ける

 標的がよく訪問するウェブサイトの脆弱性を確認し、改ざんできるサイトがあればそこに罠を仕掛けます。また、脆弱性がなかったとしても、偽サイトを作ってそこにユーザーを誘導します。

2-4 攻撃の実施

 改ざんしたサイトで標的のユーザーを待ち受けて、訪問した際にマルウェアをダウンロードさせます。標的の特定や偵察の段階でターゲットを定めている場合は、ドメインやIPなどから個人を特定して狙ったユーザーを確実にマルウェアに感染させることができてしまいます。

2-5 侵入する

 水飲み場で感染させることに成功したマルウェアは、組織内に侵入し、ユーザーが気づかないうちに機密情報を外部に送信したり、遠隔地から端末を操作したりします。また、感染した端末を踏み台にされて攻撃の加害者になってしまうこともあります。

3. 対策

 この攻撃は組織内のインターネットユーザーが日常的に訪れるサイトに罠がしかけられることから、入口が不特定多数に及びます。例えば不審なメールへの対応はきちんとしていても、サイトへのアクセスという習慣的な行動を利用されますので回避しにくい特徴があるといえます。
 侵入されないための対策はもちろんのこと、侵入された場合に持ち出しをされないための出口対策も必要です。以下に代表的な対策例を記載します。

3-1 入口対策

 マルウェアの侵入を防ぐために基本的な対策は徹底しましょう。
・怪しいメール、添付ファイルは開かない
・知っている相手からのメールであってもリンクをクリックする際はURLを確認する
・ファイアウォールの設置による侵入防止
・OSやウィルス対策ソフトは最新版に保っておく

 水飲み場型攻撃は人間の習慣を利用した攻撃であることから、個々人が攻撃を受けるリスクを認識し、標的にされている緊張感を持つ必要があります。セキュリティ部門による技術的な対策だけでなく、社員教育といった人的対策も注力したいところです。

3-2 出口対策

 攻撃が組織内部に到達してしまうことを前提として、端末に入り込んだマルウェアが外部と通信をすることを防ぐなど出口対策もしっかり行っておくことも必要です。
・外部送信データのチェック(持ち出しの監視)
・通信ログを監視して、不正な通信を検知・遮断する
・持ち出されても中身を見られないように暗号化する(機密情報のファイルにはパスワードを設定する)

 また、内部に侵入したマルウェアは社内ネットワークの探索を行い重要データを盗もうとしますので、重要データの入ったサーバーはネットワークを分離しておくことで内部での感染拡大を防ぐことができます。

3-3 自社サイトの脆弱性診断

 自社サイトが水飲み場になり、攻撃に使われてしまうリスクもありますので、定期的にサイトの診断を行うことも重要です。またサイトの常時SSL化なども検討しましょう。

4. まとめ

 水飲み場型攻撃といった場合、未知の脆弱性を突くゼロデイ攻撃が話題になることもありますが、実際にはゼロデイ攻撃よりも既知の脆弱性を突いた攻撃も多く、ソフトウェアを最新の状態にしておくなど、まずは基本的な対策を怠らないことが大切です。
 水飲み場型攻撃のような明確に対象を絞った標的型攻撃はなくなることはなく、むしろ増えていく前提で対策をしたほうが良いでしょう。各端末での基本的なウィルス対策、社員教育、入口対策・出口対策といった多層的なアプローチで被害を最小化する体制を構築していきましょう。

著者:マカフィー株式会社 マーケティング本部

侵入を前提とした標的型攻撃への対策基盤の確立

ターゲットを定めて重要な機密情報を盗み出そうとする標的型攻撃。時間をかけて入念な準備を行い、ソーシャルエンジニアリングを駆使して、終始正体を隠しながら被害側のPCを操って機密情報を盗み出し、痕跡を消す典型的な例を解説します。

<掲載内容>
■入念かつ隠密性の高い標的型攻撃
■脅威対策ライフサイクル指向のセキュリティ
・ダイナミックエンドポイントとは?
・限られた人員でより多くの脅威に対応
・脅威の進化に対応できる対策基盤の確立

巧妙な標的型攻撃には「防御」だけでなく、侵入された後も「検知→復旧→適応」のプロセスで護る脅威対策ライフサイクル指向のエンドポイントセキュリティが効果的です。本資料ではマカフィーが実現するスピーディで効果的な対策のメカニズムについて一挙公開します。